vTop 技术白皮书v5.2

1、 红山桌面虚拟化vTop技术白皮书(Version 5.2)北京红山世纪科技有限公司2014年3月红山桌面虚拟化vTop技术白皮书 版本号：V 5.2版权所有 © 2014北京红山世纪科技有限公司。保留所有权利。 Halsign、红山、vTop和徽标是北京红山世纪科技有限公司在中国和/或其他国家/地区的注册商标或商标。其他公司名称或产品名称仅作提供信息之用，可能是其各自所有者的商标。目 录1概述11.1开发背景11.2产品定位12vTop原理及架构32.1IDV技术与VDI技术32.2vTop的实现63vTop主要功能83.1离线使用83.2终端漫游83.3用户权限管理83.4备份与

2、容灾83.5虚拟防火墙93.6主机绑定93.7策略管理93.8用户数据集中管理103.9外设管理104vTop优势114.1简单易用114.2用户完美体验124.3保证数据安全135红山公司简介141 概述1.1 开发背景在数字化、信息化的时代，几乎所有的工作都离不开计算机的辅助，一个单位的终端桌面数量往往达到数百台，甚至几千台。目前桌面管理采用的最普遍方式是为用户提供一台硬件设备， IT 部门在这些设备上安装一套“标准的”镜象。然而，绝大部分使用者并不具备电脑维护方面的专业知识，而是只关注各自的业务操作，因此对企业单位内电脑的维护工作成为一项十分艰巨的任务。据估计，购买桌面硬件和软件的费用通

3、常占设备总成本的20% - 30 % ，而其余70% - 80% 则主要是IT 维护成本。此外，如果本地设备出现损坏、丢失或被盗，企业或政府的敏感数据将随计算机而消失，对企业及各机关单位的数据造成极大的安全隐患。桌面虚拟化技术就在这种强大的市场需求下应用而生。桌面虚拟化是指将个人的桌面软件环境与个人计算机的物理硬件相分离，允许用户通过任何可上网的计算机访问自己的个人桌面。虽然这仍然是一个相对较新的市场，但是大多数企业都存在快速实现桌面虚拟化的潜能。当前市场的全球化、员工移动性等特点分散了企业的各种流程。但是，对桌面简化管理、集中部署、保障信息安全的需求仍是企业亟待解决的重要问题，也是桌面虚拟化

4、的主要驱动因素。1.2 产品定位 红山公司立足于服务器虚拟化的技术优势，应用较为先进的IDV技术架构，从集中管理、简化部署、保障安全等方面深入探索研究，自主研制开发的桌面虚拟化解决方案vTop，旨在为中小型企业、高校、医院、呼叫中心、政府职能部门等需要部署维护相当数量桌面的单位以及研究中心、设计院等需要对数据高度保密的部门提供完善的虚拟化解决方案。通过部署vTop，主要主要可以实现以下功能和要求： 提高数据安全性：对于那些由于员工移动强而必须努力保护敏感数据的大型企业来说，这是一项必须达到的管理目标。 简化对所有桌面的管理：桌面IT操作不再需要重复的手工工作就能确保企业内所有桌面都安装了最新的

5、补丁和更新，并进行了最新的升级和刷新，以保证桌面的性能。 提高操作系统的性能：即使Windows注册表因安装了若干更新和新软件而出现混乱，虚拟化桌面的性能也不会随时间的推移而衰退和下降。最新的虚拟桌面和应用在数据中心更新后便可由用户选择性的下载到本地，安装运行。· 满足个性化需求：vTop满足一些机密单位或部门对不同用户权限的限制，如：外设使用权限、主机访问权限等。2 vTop原理及架构目前市场上存在的桌面虚拟化技术主要有VDI和IDV两种技术架构。2.1 IDV技术与VDI技术l VDI技术架构VDI架构的特点是集中管理、集中运行。该方案将操作系统及应用程序统一存放在数据中心的服务

6、器及存储设备中，虚拟桌面与数据中心通过网络连接，所有的桌面计算资源高度集中在数据中心，只是将界面发送至终端设备，其架构如下图所示。图 1 VDI架构图VDI架构桌面虚拟化给IT建设带来的显著挑战：· 高成本要实现VDI环境，企业需要在核心基础设施上增加投入，包括面向VDI的高可靠性存储、服务器和新的终端设备，同时还需要支付VDI软件授权的费用，实施起来比传统IT基础架构的成本还要高。· 存储性能瓶颈由于桌面和应用以集中化的方式存储，强大的数据吞吐量给存储系统带来了巨大的压力，VDI的性能也受到存储系统能够支持的IOPS的影响。因而，存储性能的好坏直接影响终端用户的体验。对V

7、DI系统来说，当大量的Windows系统同时启动或登录时，还会产生所谓的“启动风暴”或“登录风暴”。· 软件授权企业在实施VDI之前，必须要搞清楚软件厂商是否提供了产品的VDI授权，很多软件授权都明文禁止在虚拟环境中使用，或者会要求企业另外购买专门的虚拟化授权供VDI环境使用。· 用户体验高效的远程显示协议也无法完全消除低带宽、高延时网络连接对用户体验的影响。对网络带宽、延时的要求，使得VDI无法真正突破多媒体、3D影像设计应用的瓶颈。· 网络依赖VDI要求具有始终能连接到数据中心的网络，虚拟桌面与数据中心通过网络连接，所有的计算都发生在虚拟的宿主机端。对网络的依

8、赖，使得脱机使用变得十分困难，给用户的移动性也带来挑战。· 集中风险VDI采用集中运算的机构，当网络、数据中心、服务器、存储等出现故障时，将引发大面积的桌面故障。· 外围设备支持VDI对各种可用外围设备存在限制，对很多外设的兼容存在问题。l IDV技术架构红山vTop采用的是智能桌面虚拟化(Intelligent Desktop Virtualization,IDV)架构，它是一种新颖的技术观念，采取的是集中管理、分布式运行方式来满足运营技术需求，其技术架构如下图所示。图 2 桌面虚拟化IDV架构图红山vTop直接安装在客户端上，多个操作系统可作为虚拟机并排安装，所有商务应

9、用与计算都在本地运行，vTop可以全面隔离每个虚拟机，确保最高的安全性；数据中心用于保存桌面镜像及用户数据，并对整个系统进行集中管理。相对于VDI架构而言，IDV架构的桌面虚拟化解决方案具有以下特点及优势：n 成本低借助IDV，各机构无需基础设施的投入便可快速而方便地开展桌面虚拟化。n 降低存储和网络带宽需求由于存储设备只用于存放镜像及用户同步的数据，所有的应用和运算都在客户端本地运行，因而大大降低对存储性能的要求；对于下载镜像和同步数据时对网络带宽的需求也远远低于VDI技术架构。n 用户体验流畅集中管理和本地执行，将数据中心构建量降至最低，同时使用智能客户端的处理能力，优化用户体验。可完美支

10、持多媒体、3D影像设计、视频交互等应用。n 支持离线模式IDV提供了离线模式，当网络断开时，可直接在本地硬件设备运行虚拟桌面，让用户能够在任何时间、任何地点使用虚拟桌面，实现更大的移动性。n 支持外设IDV本地虚拟化实现方式，能够兼容几乎所有的外设，打印机、U-Key、加密狗等等，不再受虚拟化限制，在策略允许的情况下，可随意使用。n 安全性高IDV采用分布式计算方式，网络、数据中心、服务器、存储任何一点的故障，都不会引起大规模桌面失效，从而保证了业务的可靠运行。2.2 vTop的实现vTop桌面虚拟化解决方案主要由几部分组成：安全中心Halsign Manager、备份与同步服务器vStora

11、ge、桌面虚拟化软件vTop及存储。图 3红山vTop原理图² Halsign Manager：安装在一台PC机（或虚拟机）上，是桌面虚拟化解决方案的管理中心，用于客户端性能监控以及防火墙设置和QoS保证等。² vStorage：安装在一台PC机（或虚拟机）上，进行虚拟机标准镜像存放与维护更新；对客户端本地数据进行增量备份，将用户本地虚拟桌面同步到数据中心；对用户、虚拟桌面和主机进行集中管理和控制。² vTop：安装在客户端裸机上，可在本地客户端直接运行桌面和应用软件，能够实现离线虚拟桌面，为用户带来体验流畅、完全网外移动的完美体验。作为一个企业级的桌面虚拟化解决

12、方案，红山vTop桌面虚拟化采用集中管控、分布运行的架构。客户端的虚拟桌面可以通过vStorage进行同步，可以统一下发标准虚拟机镜像，也可以定时备份客户端上的本地数据，同时过集中的策略管理，可以限制被管理的虚拟桌面对外设的访问，在设备丢失后进行远程镜像关闭、远程擦除，从而保证客户端数据的安全性。同时，通过Halsign Manager可以设置虚拟防火墙和QoS。3 vTop主要功能3.1 离线使用只要是在当前主机上已经下载过的桌面镜像，用户都可以在没有网络的情况下离线登录使用，当网络条件允许时，再将使用过程中产生的数据同步至数据中心。vTop的可离线使用功能，突破了在网络条件差、甚至没有网络

13、的情况下，虚拟桌面使用的局限性，网络中断或网络故障不会带来桌面失效。3.2 终端漫游凭用户名、密码vTop用户可在任意客户端访问自己的桌面，本次操作结束时，用户根据需要将需要保留的数据上传至vStorage；注销登录后，系统可以根据策略清除该用户本次登录时在本地产生的所有数据信息，确保用户信息的安全性；任意客户端在某一用户登录注销后，其它用户可无障碍登录继续访问自己的桌面，实现了真正的终端漫游功能，为用户带来更高的移动性和安全性。3.3 用户权限管理管理员在vStorage上创建桌面用户，每个用户拥有独立的虚拟桌面，各用户虚拟桌面之间完全隔离。用户凭用户名、密码可在vStorage管理下的任意

14、客户端访问自己的桌面； 管理员可以通过vStorage为用户分配镜像、分配策略、绑定主机，以及管理用户周期。大大简化了系统部署管理的过程、降低了成本。3.4 备份与容灾vStorage可实现镜像的集中管理和本地虚拟桌面的数据同步管理，按照一定的备份策略，可对用户数据进行周期备份；当用户数据损坏时，vStorage可将用户数据恢复到损坏之前的某一时间点的状态。3.5 虚拟防火墙虚拟防火墙是针对虚拟化的安全防护功能，专为虚拟网络设计的ACL控制、强大的分层式防护设计与自动化安全功能，为用户提供更严密的安全防护。用户访问控制（ACL）可对虚拟机之间进行进一步隔离，为虚拟机之间的数据安全增加了一层保护

15、。3.6 主机绑定个人桌面应用、测试或开发、演示、高度保密环境等等，针对不同部门或用户的不同的安全权限和要求，可对主机和用户（或用户组） 强制绑定，如：某些客户端主机只能由研发部门员工凭用户名、密码登录使用，其它用户无相应权限，无法登录；某台客户端主机专门用于高保密环境，只供指定员工一人使用。3.7 策略管理vStorage对虚拟桌面、主机客户端、用户、用户组进行相应的策略定义，并将其分配给相应的用户和用户组。该功能体现vTop管理的便捷性和可操作性。主要包括以下策略： 1、 设备策略允许或者禁止访问光驱、USB、打印机、U-key、无线接口等外设。2、 安全策略 在一段时间离线或未登录的情况

16、下，禁止该用户的使用。3、 用户策略允许或禁止用户修改密码、允许或禁止用户配置桌面网络、自动/手动上传数据、自动清除数据、多点同时登录等。4、 备份策略定义备份的时间、周期、类型。5、 数据合并策略将某一备份点或备份时间之前的增量数据进行合并，以减少其占用的存储空间，合并后的数据不能再按备份点进行恢复。6、 网络规则为用户下的镜像或虚拟机分配特定的网络配置，当用户在不同的终端漫游时可以自己决定使用相同或不同的网络配置。3.8 用户数据集中管理用户在本地产生的数据文件可以同步到vStorage服务器中进行统一管理；退出登录后，在本地产生的数据将自动清除。应用程序在本地设备启动，对性能影响非常小，

17、保证各项应用使用的流畅性，同时保证了用户数据的安全性。3.9 外设管理vTop桌面虚拟化解决方案可兼容几乎所有的外设，如：U盘、打印机、U-Key、加密狗等等。管理员还可以通过策略配置，禁止或允许某些用户对特定外设的使用，从一定程度上保证了机密数据的安全性，避免数据泄露或外来病毒入侵。4 vTop优势4.1 简单易用数分钟安装部署完成，无需改变用户习惯即可使用虚拟桌面。Ø 创建标准镜像具有发布权限的用户创建企业标准镜像，发布到管理服务器vStorage。Ø 为用户分配部署镜像vStorage管理员将标准镜像下发到各个用户，用户下载标准镜像到本地，形成用户虚拟桌面。虚拟桌面在

18、本地运行，因此可提供良好的性能体验，且可运行用户离线脱机使用。Ø 用户桌面个性化定制虚拟桌面采用分层架构：用户数据与设置、用户自行安装的应用程序、包含操作系统及程序的标准镜像，共三层设计。通过分层设计，用户可在本地对镜像进行个性化定制，IT管理员只需维护标准镜像。既保证了用户使用的灵活性，又简化了管理。Ø 用户自行恢复桌面如果用户桌面出现系统崩溃、蓝屏死机、恶意攻击等问题，用户可自行将虚拟桌面恢复到原始的干净状态或备份过的某一时间点状态，用户数据与设置不受任何影响。Ø 集中更新镜像vTop只需将镜像的更新增量部分分发给用户，更新速度快，成功率高。更新过程中如果遇到

19、问题，还可回退到上一版本。Ø 完备的策略管理虚拟桌面vTop可通过 vStorage查看所有虚拟桌面的使用情况，并且有多种策略对客户端本地桌面进行控制。4.2 用户完美体验Ø 支持离线模式，降低网络依赖vTop可支持离线使用功能，在网络条件差、甚至没有网络的情况下，用户仍然可以访问桌面和应用，不必担心网络中断或网络故障带来的桌面失效。Ø 利用本地资源，支持复杂应用vTop采用本地虚拟化技术，可充分利用本地计算资源，图形设计、高清视频、多任务等VDI桌面虚拟化无法解决的瓶颈问题，vTop均可轻松解决。用户可在vTop上运行复杂、高性能的应用，体验流畅，本地化运行方式，无需改变用户习惯，用户适应成本为零。Ø 兼容本地外设，消除使用禁锢vTop可以兼容几乎所有的外设，U盘、打印机、U-Key、加密狗等等，不再受虚拟化限制，可随意使用。Ø 用户权限管理，访问安全便捷vTop数据同步方案，可按照一定的策略将用户数据同步到数据中心，之后用户即可凭用户名、密码在任意本地设备上访问这些数据，各用户桌面完全隔离，保证访问的安全性。4.3 保证数据安全1、 虚拟桌面封装隔离vTop